ETS e nomina di un responsabile del trattamento dei dati personali

Gli Enti del Terzo Settore, come visto nei precedenti contributi, ai fini della normativa sulla protezione dei dati personali (Regolamento UE n. 679/2016, General Data Protection Regulation, in seguito indicato come Regolamento o anche solo con l’acronimo GDPR), rivestono la qualifica di titolare del trattamento dei dati e, pertanto, sono tenuti all’osservanza di tutte le regole gravanti su questa figura. La disciplina del GDPR (invero, come in precedenza stabiliva il D.Lgs. 30 giugno 2003, n. 196) prevede, e consente, che il trattamento dei dati sia fatto da un terzo soggetto per conto del titolare: chi opera in questa veste è definito come responsabile del trattamento dei dati(in seguito indicato anche solo come responsabile del trattamento) e, tanto la sua nomina quanto il suo operato sono regolati da apposite norme del GDPR.

di Alessio Scaglia *

Il responsabile del trattamentodei dati (nella dizione inglese, data processor) è definito, dall’art. 4, c. 1, n. 8), GDPR, come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento“. La disciplina di questa figura concerne tanto aspetti formali (specialmente in relazione alle modalità di nomina) quanto sostanziali (specialmente in relazione ai doveri e alla responsabilità) che saranno tratteggiati in questo contributo, con specifico riferimento a quanto di competenza degli Enti del Terzo Settore che intendano nominare il responsabile del trattamento 1.

Il responsabile del trattamento dei dati personali: aspetti generali

Il responsabile del trattamento dei dati personali (da non confondere con il responsabile per la protezione dei dati, in sigla R.D.P., o, con dizione anglofona, data protection officer, in sigla D.P.O., che è figura con compiti, funzioni e mansioni totalmente diversi) è disciplinato negli artt. 4, comma 1, n. 8) e 28-31 del GDPR.

Come già anticipato, il GDPR definisce il responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento“: si tratta, dunque, di qualsiasi soggetto che assolve il compito di trattare dati personali (degli interessati) per conto di un titolare del trattamento.

Dalla definizione si evince, come questo soggetto debba:

  • necessariamente essere diverso dal titolare del trattamento;
  • svolgere il proprio compito per conto del titolare, ossia secondo le modalità e le istruzioni da questi impartite.

Il responsabile del trattamento, dunque, deve attenersi scrupolosamente alle istruzioni del titolare che, comunque, può lasciare dei margini di operatività discrezionale in capo al primo, il quale per esempio, potrà avvalersi dei mezzi tecnici e organizzativi ritenuti più idonei.

Qualora il responsabile del trattamento non si limiti ad effettuare i trattamenti secondo quanto prescritto dal titolare e inizi a definire mezzi e finalità propri, opererà in contrasto alle norme del GDPR e sarà considerato titolare del trattamento esponendosi anche all’applicazione delle sanzioni comminate dal GDPR stesso.

La disciplina della protezione dei dati personali è molto rigorosa e, anche rispetto al responsabile del trattamento e al rapporto tra questi e il titolare, pone regole stringenti: infatti, l’art. 28, GDPR prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dal Regolamento e garantisca la tutela dei diritti dell’interessato.

Il responsabile del trattamento può aderire a un codice di condotta o a un meccanismo di certificazione. La presenza di uno di questi due requisiti, ai sensi dell’art. 28, comma 5, GDPR, può essere utilizzata come elemento per dimostrare le garanzie sufficienti.

La nomina di un responsabile del trattamento dei dati è facoltativa e concerne una valutazione di opportunità che può compiere solamente il titolare: nel caso dell’ETS, dunque, sarà l’Ente a dover valutare, in base all’attività svolta, alle finalità e alle modalità del trattamento dei dati di cui entrerà in possesso, se sia necessario nominare un soggetto come responsabile del trattamento.

Al responsabile del trattamento è fatto espresso divieto di ricorrere a un altro responsabile in assenza di una previa autorizzazione scritta, specifica o generale, del titolare. Inoltre, laddove la nomina del sub responsabile si fondi su una autorizzazione scritta generale, il responsabile del trattamento è tenuto ad informare il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento sì da consentire al titolare del trattamento di opporsi a tali modifiche.

Ai sensi dell’art. 28, comma 4, GDPR, laddove un responsabile del trattamento ricorra a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su questo secondo soggetto sono imposti, sempre tramite contratto o altro atto giuridico vincolante, gli stessi obblighi in materia di protezione dei dati derivanti dal contratto o dall’atto giuridico stipulato tra il titolare e il responsabile.

Nel caso di inadempimento posto in essere dal secondo responsabile, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

Un altro aspetto molto importante riguarda il rapporto tra titolare del trattamento e responsabile del trattamento che, come prescritto dall’art. 28, GDPR, deve essere disciplinato da un contratto o da un atto giuridico di altra natura, redatto per iscritto, anche in formato elettronico, con carattere di vincolatività (v. infra).

Infine, appare opportuno quantomeno segnalare un tema che ha destato qualche difficoltà ermeneutica al momento dell’entrata in vigore del GDPR: in Italia, infatti, sotto la vigenza del D.Lgs. n. 193/2003, il responsabile del trattamento poteva essere interno o esterno all’organizzazione del titolare del trattamento.

Con l’entrata in vigore del GDPR e, in base alla definizione di responsabile di trattamento nonché in ragione del fatto che il rapporto tra titolare e responsabile sia disciplinato da apposito contratto e che il responsabile debba presentare adeguate garanzie per l’attuazione delle misure di sicurezza, si tende ad escludere che possa ancora esistere il responsabile interno: in questo senso, per esempio, si esprimono le Linee Guida dell’EDPB 7/2021 2dove, a chiarimento dei requisiti che deve possedere il responsabile del trattamento dei dati è precisato che:

“Un soggetto distinto significa che il titolare del trattamento decide di delegare tutte o parte delle attività di trattamento a un soggetto esterno. All’interno di un gruppo di società, una di esse può essere responsabile del trattamento di un’altra che agisce in qualità di titolare del trattamento, in quanto le due società sono entità distinte. Di converso, un dipartimento all’interno di una società non può essere responsabile del trattamento per conto di un altro dipartimento all’interno della stessa società. Se il titolare del trattamento decide di trattare direttamente i dati utilizzando le proprie risorse interne, ad esempio attraverso il proprio personale, non vi sono responsabili del trattamento. I dipendenti e le altre persone che agiscono sotto l’autorità diretta del titolare del trattamento, come il personale assunto temporaneamente, non vanno considerati responsabili del trattamento poiché trattano dati personali in quanto parte della struttura del titolare del trattamento”.

In senso contrario, invece, la dottrina 3argomenta circa possibilità di nominare unresponsabile internoin quanto ciò non sarebbe affatto escluso dal GDPR e, anzi, il nostro Ordinamento interno, dando attuazione al Reg. UE n. 679/2016, con l’art. 2-quaterdecies, D.Lgs. n. 196/03 4, avrebbe proprio previsto tale figura stabilendo che:

“Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”.

Inoltre, sempre a sostegno di questa tesi, la medesima dottrina precisa che anche a livello europeo, la figura del responsabile esterno sarebbe riconosciuta dalla Decisione n. 2008/597/EC del 3 giugno 2008 (adottata in attuazione del Reg. UE n. 45/2001 sul trattamento dei dati personali da parte delle istituzioni comunitarie ma utilizzabile anche per l’interpretazione delle norme contenute nel GDPR).

A sommesso avviso di chi scrive, specialmente in un ambito peculiare come quello degli ETS, sovente caratterizzati da strutture formate da soli volontari e con organizzazioni estremamente semplificate, non appare opportuno procedere alla nomina di un responsabile interno , limitandosi, piuttosto, a incaricare uno o più specifici soggetti per il trattamento di determinati dati (c.d. incaricato al trattamento ).

Un esempio di soggetto incaricato al trattamento può rinvenirsi nel caso dell’ETS che incarichi un membro del consiglio direttivo o, eventualmente, il personale di segreteria, a gestire la contabilità delle quote associative. Questo soggetto potrà essere incaricato a trattare solamente i dati anagrafici dei soci al fine di verificare la regolarità del pagamento delle quote.

La nomina del responsabile del trattamento dei dati personali da parte di un ETS: la disciplina ex art. 28 GDPR

In termini generali è stato chiarito che il responsabile del trattamento è colui che effettua il trattamento per conto del titolare. Occorre, dunque, domandarsi in quali casi, un ente del terzo settore, possa trovarsi nella condizione di dover incaricare un soggetto al trattamento dei dati di cui entra in possesso.

È noto che la realtà possa essere molto variegata e la presente elencazione non intende avere alcuna pretesa di esaustività, ma di seguito si indicano alcuni esempi di possibili situazioni in cui l’ETS possa o debba nominare il responsabile del trattamento dei dati:

  • ETS che effettui il trattamento dei dati personali dei propri associati mediante un gestionale che, per esempio, archivi i dati in cloud (solitamente si tratta si software house): in questi casi, il fornitore che offre il servizio e il gestionale è da nominare responsabile del trattamento e, normalmente, la nomina è già contenuta nel contratto di fornitura del gestionale;
  • ETS che si avvalga di soggetti esterni (per esempio tecnici informatici) per l’organizzazione di campagne promozionali, eventi o simili per i quali il soggetto esterno si trovi nella condizione di gestire i dati personali degli interessati che sono in possesso dell’ETS (per esempio: l’ETS incarica la società Alfa di effettuare una campagna pubblicitaria in merito ad un camp invernale per il quale sia previsto che gli interessati si iscrivano mediante un form presente sul sito internet dell’associazione che viene gestito dal medesimo soggetto che effettua la campagna pubblicitaria; o, più semplicemente, l’ETS incarica un determinato soggetto alla gestione delle mailing list);
  • ETS che intrattenga rapporti di lavoro (subordinato, di collaborazione occasionale, a chiamata, autonomo, ecc.) e che intenda affidare il trattamento dei dati dei propri collaboratori (per esempio per l’elaborazione dei cedolini paga e delle certificazioni uniche) ad un professionista;
  • ETS a capo di una rete associativa che incarichi un altro ETS di trattare determinati dati personali in suo possesso per determinate finalità;
  • ETS che sia tenuto a nominare l’organo di controllo o il revisore dei conti ai sensi degli artt. 30 e 31, D.Lgs. n. 117/2017.
La nomina di un soggetto come responsabile del trattamento dei dati potrebbe compromettere i requisiti di tale soggetto per l’esercizio della carica di organo di controllo. L’organo di controllo, per esempio, deve possedere i requisiti di cui all’art. 2399, c.c., tra i quali, alla lett. c) è menzionata l’indipendenza: il responsabile del trattamento è nominato con contratto o atto giuridico che, normalmente, ha natura patrimoniale e, pertanto, viene “minato” il requisito dell’indipendenza. Analogo discorso vale per i revisori dei conti.

Occorre ora analizzare come un ente del terzo settore debba procedere per nominare un responsabile del trattamento dei dati.

Come già detto, questa operazione avviene mediante la stipula di un contratto o di altro atto giuridico in forma scritta che, ai sensi dell’art. 28 GDPR, vincoli il responsabile del trattamento al titolare del trattamento e individui:

  • la materia (l’ambito nel quale si effettua il trattamento);
  • la durata del trattamento;
  • la natura e la finalità del trattamento;
  • il tipo di dati personali e le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento.

Più nel dettaglio, l’accordo deve prevedere che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento: ciò vale anche (e, aggiungiamo, soprattutto) in caso di trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento: in questa ipotesi, il responsabile del trattamento deve informare il titolare del trattamento circa l’esistenza dell’obbligo giuridico di effettuare il trasferimento all’estero prima che sia effettuato il trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

Il tema degli obblighi di riservatezza costituisce un aspetto di fondamentale importanza tanto per il titolare quanto per il responsabile del trattamento;

c) adotti tutte le misure richieste ai sensi dell’art. 32 GDPR, ossia: proceda alla pseudonimizzazione e alla cifratura dei dati personali; possieda capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; possieda la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; adotti una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;

d) assicuri che il rispetto degli obblighi contrattualmente previsti ricadano anche su eventuali sub responsabili del trattamento o su altri responsabili incaricati per uno specifico trattamento (art. 28, commi 2 e 4, GDPR);

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt. 32-36, GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento: si tratta dell’obbligo di assistere il titolare al rispetto delle disposizioni in materia di sicurezza sul trattamento dei dati, comunicazione notificazione delle violazioni; svolgimento della valutazione d’impatto e sulla consultazione preventiva;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall’art. 28, GDPR e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Inoltre, il responsabile del trattamento deve informareimmediatamente il titolare del trattamento qualora, a suo parere, un’istruzione data nel contratto violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

L’accordo con cui l’ETS nomina un responsabile del trattamento, dunque, deve avere un contenuto minimo che rispecchi quanto indicato dall’art. 28, GDPR come qua illustrato. Le parti possono certamente riempire ulteriormente di contenuti queste clausole generali e ciò, evidentemente, dipenderà soprattutto da ciascun caso concreto.

Si ricorda, poi, che ai sensi dell’art. 29, GDPR, il responsabile del trattamento, o chiunque agisca sotto la sua autorità, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

A questo proposito, giova rammentare, altresì, che ai sensi dell’art. 28, comma 10, GDPR, qualora il responsabile del trattamento violi il GDPRdeterminando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione e, pertanto, oltre a soggiacere alla normativa e agli obblighi gravanti sul titolare, sarà tenuto al risarcimento dei danni in favore dell’interessato e subirà l’applicazione delle sanzioni secondo gli artt. 82, 83, 84 GDPR.

In conclusione, si segnala che, ai sensi dell’art. 30, GDPR, il responsabile del trattamento è tenuto ad adottare, ove ne ricorrano i presupposti 5, il c.d.registro delle attività di trattamento dei dati. È, pertanto, onere dell’ETS titolare del trattamento assicurarsi che il responsabile proceda all’istituzione di tale registro.

1 È molto più improbabile, invece, che l’Ente del Terzo Settore sia nominato responsabile del trattamento in quanto appare assai difficile che venga incaricato da un altro titolare per il trattamento dei dati. Alcune ipotesi in cui, probabilmente, si può configurare una consimile fattispecie si hanno nel caso di Rete di Associativa ex art. 41, D.Lgs. 3 luglio 2017, n. 117 (c.d. Codice del Terzo Settore) o di Ente del Terzo Settore che operi in convenzione con il 118 per il Servizio Urgenza-Emergenza.
2 “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021 dall’EDPB (European Data Protection Board), p. 28.
3 F. Bravo, Sulla figura del responsabile interno del trattamento di dati personali, Diritto dell’Informazione e dell’Informatica, 1° ottobre 2019, 4, p. 951 a cui si rimanda anche per un maggiore approfondimento proprio in merito a questa tematica.
4 Norma inserita dall’art. 2, comma 1, lettera f), D.Lgs. 10 agosto 2018, n. 101, recante “Modifiche alla parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196” e approvato in ragione della necessità di conformare il nostro Ordinamento alle disposizioni del GDPR.
5 Il Garante per la protezione dei dati personali, tuttavia, ritiene che l’istituzione del registro delle attività di trattamento sia una importante misura di compliance e, pertanto, la sua istituzione è altamente suggerita anche qualora non sia obbligatorio.

* Avvocato in Trento e referente dello Sportello Legale del C.O.N.I. – Comitato Provinciale di Trento.

Fonte Seac spa